Malware mobile DroidBot
Una nuova e preoccupante minaccia bancaria per Android, nota come DroidBot, sta facendo scalpore prendendo di mira gli exchange di criptovalute e le app bancarie nel Regno Unito, in Italia, in Francia, in Spagna e in Portogallo. Inizialmente scoperto dai ricercatori di sicurezza informatica nel giugno 2024, DroidBot opera come piattaforma Malware-as-a-Service (MaaS), offrendo le sue capacità dannose agli affiliati per la bella cifra di 3.000 $ al mese.
Nonostante la mancanza di funzionalità innovative, l'uso diffuso e la funzionalità di DroidBot lo rendono una preoccupazione significativa. Un'analisi di una delle sue botnet ha rivelato 776 infezioni uniche in vari paesi europei, tra cui Turchia e Germania. Il malware mostra anche segni di espansione in nuove regioni, come l'America Latina.
Sommario
Come DroidBot MaaS potenzia i criminali informatici
Gli sviluppatori di DroidBot, che si ritiene abbiano sede in Turchia, hanno creato una piattaforma MaaS che abbassa le barriere per i criminali informatici nell'esecuzione di attacchi sofisticati. Gli affiliati ottengono l'accesso a una suite completa di strumenti, tra cui:
- Un generatore di malware che personalizza i payload per obiettivi specifici.
- Server di comando e controllo (C2) per la gestione delle operazioni.
- Un pannello di amministrazione centrale per il recupero dei dati raccolti e l'invio di comandi.
I ricercatori hanno identificato 17 gruppi affiliati che utilizzano DroidBot, tutti operanti su un'infrastruttura C2 condivisa con identificatori univoci per tracciare le attività. Gli affiliati ricevono ampia documentazione, supporto e aggiornamenti regolari tramite un canale Telegram, creando un sistema a basso sforzo e ad alta ricompensa per gli aggressori.
Furtività e inganno: i travestimenti di DroidBot
Per infiltrarsi nei dispositivi degli utenti, DroidBot spesso si maschera da app legittime, tra cui Google Chrome, Google Play Store o persino i servizi di sicurezza Android. Una volta installato, funziona come un Trojan, raccogliendo informazioni sensibili dalle applicazioni mirate.
Le sue caratteristiche principali consentono agli aggressori di eseguire una serie di attività dannose, come:
- Keylogging : cattura di tutti i tasti premuti sul dispositivo infetto.
- Attacchi overlay : visualizzazione di schermate di accesso false su interfacce di app legittime per raccogliere credenziali.
- Intercettazione SMS : dirottamento di messaggi SMS, in particolare quelli contenenti OTP per l'accesso ai servizi bancari.
- Controllo remoto dei dispositivi : utilizzando un modulo Virtual Network Computing (VNC), gli affiliati possono visualizzare e controllare da remoto i dispositivi infetti, eseguire comandi e oscurare le loro azioni oscurando lo schermo.
Sfruttare i servizi di accessibilità
DroidBot si affida molto ai Servizi di accessibilità di Android, una funzionalità progettata per assistere gli utenti con disabilità nel monitoraggio delle azioni e degli swipe o dei tocchi simulati. Questo uso improprio sottolinea l'importanza di esaminare attentamente le app che richiedono permessi insoliti durante l'installazione. Se un'applicazione richiede l'accesso ai Servizi di accessibilità senza uno scopo chiaro, gli utenti devono immediatamente negare la richiesta e disinstallare l'app se necessario.
Obiettivi di alto valore: applicazioni bancarie e crittografiche
La portata di DroidBot si estende a 77 applicazioni di criptovaluta e bancarie di alto profilo. Alcuni obiettivi degni di nota includono:
- Scambi di criptovalute: Binance, KuCoin e Kraken.
- Applicazioni bancarie: BBVA, Unicredit, Santander, BNP Paribas e Credit Agricole.
- Portafogli digitali: Metamask.
Queste applicazioni ospitano dati finanziari sensibili, il che le rende obiettivi privilegiati per i criminali informatici.
Come rimanere protetti
Per mitigare minacce come DroidBot è necessario un approccio proattivo:
- Attenersi alle fonti ufficiali : scaricare le app solo dal Google Play Store.
- Autorizzazioni di revisione : fare attenzione alle richieste di autorizzazione insolite, in particolare quelle che riguardano i servizi di accessibilità.
- Attiva Play Protect : assicurati che questa funzione di sicurezza sia abilitata sul tuo dispositivo Android.
Adottando queste pratiche, gli utenti possono ridurre significativamente la loro esposizione a minacce come DroidBot e mantenere il controllo sui loro dati sensibili. Mentre DroidBot continua a evolversi ed espandere la sua portata, restare informati e cauti rimane fondamentale per difendersi dalle sue tattiche ingannevoli.